Encryptie wordt steeds meer gezien als een oplossing voor zowel bedrijven als burgers om inlichtingendiensten buiten de deur te houden. Ondanks mijn cryptografische achtergrond is cryptografie echter niet de heilige graal, zoals soms wordt gesteld. Deze barrière wordt veelal omzeild door telefoons of laptops te hacken en direct met de gebruiker mee te kijken. In de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) wordt de hackbevoegdheid van de AIVD op dit gebied verruimd en ook de politie krijgt dit recht. Is dat slecht? Integendeel, ik denk dat het juist essentieel is om de veiligheid op internet te verbeteren en internationale spionage tegen te gaan.
Over deze Blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Het internet is vergeven van hackers en zelfs private partijen doen het. Vanuit landen als China en Rusland wordt werkelijk alles wat los en vast zit in de westerse landen gehackt om aan intellectueel eigendom of politieke informatie te komen. Er valt dan ook veel te halen. Chinezen zijn in staat om hele fabrieksplannen te kopiëren en daarmee zelf vergelijkbare fabrieken te bouwen, waar wij heel veel research voor hebben moeten doen. In zo’n klimaat vind ik het onlogisch dat hacken geen middel voor overheden zou mogen zijn, om hier iets tegen te doen. Het is juist een uiterst krachtig en essentieel instrument om meer grip te krijgen op het internet en de veiligheid voor bedrijven en burgers te vergroten.
Cybersecurity in Nederland
Jaarlijks publiceert het Nationaal Cyber Security Centrum een rapport over het Cybersecuritybeeld Nederland (CSBN), waarvan onlangs de 2015-editie verscheen. Uit dit rapport blijkt elke keer weer dat spionage het grootste cybersecurity-risico is voor Nederland. Helaas wordt er nooit een helder antwoord gegeven op de vraag wat de oplossing is voor dit probleem. Klaas Dijkhoff, staatssecretaris van Veiligheid en Justitie komt ook niet verder dan te zeggen dat het de eigen verantwoordelijkheid is van het bedrijfsleven om zich hier tegen te wapenen. Dat klinkt mooi, maar in de praktijk zullen ze daar zelf nooit toe in staat zijn. Ik vind dat er echt een grote rol is weggelegd voor de overheid en de inlichtingendiensten om hier iets tegen te doen. Maar om dat mogelijk te maken, hebben ze absoluut meer bevoegdheden nodig, waaronder de mogelijkheid om verdachte partijen te kunnen hacken. Dat klinkt voor sommige mensen misschien eng, maar in een wettelijk kader is het uitstekend te verantwoorden. Ik heb persoonlijk liever de AIVD op mijn netwerk, dan een Rus in mijn laptop.
Cryptografie en veiligheid
Ook al is de beveiliging die encryptie toevoegt aan internetverkeer relatief, netto denk ik dat het ons als land veiliger en weerbaarder maakt tegen buitenlandse vijanden. Er moet daarom ook zeker niet getornd worden aan de essentie van cryptografie, namelijk dat beveiligingssleutels bij zo min mogelijk partijen bekend zijn. In de nieuwe Wet inlichtingen- en veiligheidsdiensten zit helaas ook een zekere dwang richting internetproviders, namelijk dat zij bepaalde versleuteling ongedaan moet kunnen maken als dit juridisch geëist wordt. Dat lijkt me een negatieve motivatie voor dienstverleners om goede encryptie te implementeren. Goede crypto vereist namelijk dat providers juist geen toegang hebben tot data van hun klanten. Het is daarom van groot belang om dit soort toegang te voorkomen om de veiligheid van het internetverkeer in Nederland beter te kunnen garanderen. Dit maakt het werk van inlichtingendiensten lastiger, maar als we de nationale veiligheid willen verbeteren, dan is het geen optie om de inlichtingendiensten alle middelen uit handen te nemen. Ze hebben die bevoegdheden nodig om te mogen hacken, ook al wordt hier met argwaan naar gekeken. Ik denk dat we hier uiteindelijk een vrijer en veiliger internet aan overhouden, waar zowel burgers als organisaties van profiteren.
